חור באימות של Windows: באג ב-Netlogon מאפשר השתלטות על שרת הדומיין כולו

ב-1 ביוני 2026, ה-Centre for Cybersecurity Belgium אישר רשמית: CVE-2026-41089 מנוצלת בפועל בפריצות ממשיות לארגונים. הפגיעות, שתוקנה ב-Patch Tuesday של מיקרוסופט במאי 2026, מאפשרת לתוקף שנמצא בתוך הרשת הארגונית — גם ללא שם משתמש או סיסמה — להריץ קוד מרחוק על שרת הדומיין (Domain Controller) ולהשתלט על כל תשתית ה-Active Directory של הארגון. מומחי אבטחה מכנים אותה “נתיב מהיר להשתלטות על כל ה-Forest.”

מה זה Domain Controller ולמה הוא לב הרשת?

כדי להבין את חומרת הפגיעות, צריך קודם להבין מה תפקידו של שרת הדומיין.

Active Directory הוא מערכת הניהול המרכזית של רשתות Windows ארגוניות. היא מחזיקה את רשימת כל המשתמשים, המחשבים, ההרשאות והמשאבים בארגון — ממחשב הקבלה בכניסה ועד לשרת ה-ERP הרגיש ביותר. ה-Domain Controller הוא השרת שמריץ את Active Directory ומשמש כסמכות האמת של הרשת: הוא זה שמחליט מי מורשה לגשת לאיזו מערכת, ומי לא.

ה-Netlogon הוא שירות Windows שרץ על כל Domain Controller ומהווה את מנגנון האימות הבסיסי של הדומיין. בכל פעם שמחשב עובד נדרש להזדהות מול שרת הדומיין — בהתחברות לבוקר, בגישה לתיקיה משותפת, בהרצת Group Policy — Netlogon הוא זה שמטפל בלחיצת היד הבטחונית הזו. הוא פועל ברקע, בשקט, כל הזמן.

שרת הדומיין הוא כמו שוטר ביטחון מרכזי שמזהה כל עובד בכניסה ומוודא שיש לו תג תקין. אם תוקף יצליח להשתלט עליו — כל דלת בבניין נפתחת בפניו, כי כולן סומכות על שיקול דעתו.

הפגיעות הטכנית: הצפת מאגר ב-Netlogon

CVE-2026-41089 היא הצפת מאגר (buffer overflow) מסוג stack-based בשירות Netlogon של Windows. כדי להבין מה זה אומר, נסביר בקצרה.

כשתוכנה מעבדת נתונים שמגיעים מהרשת, היא מקצה “מגירה” (buffer) בזיכרון לאחסון אותם נתונים. הצפת מאגר מתרחשת כאשר כמות הנתונים שנשלחת גדולה ממה שהמגירה מסוגלת להכיל — ועוברת אל אזורי זיכרון סמוכים שאמורים להכיל מידע שונה לגמרי. אם מידע זה כולל הוראות הרצה (כתובות חזרה, פוינטרים לפונקציות), תוקף מיומן יכול לשלוט בזרימת ביצוע התוכנית ולהפנות אותה להריץ קוד שרירותי שלו.

במקרה של Netlogon, הפגיעות קיימת בקוד שמטפל בבקשות רשת נכנסות. ללא צורך ב-אימות — כלומר, לפני שמוכיחים זהות — ניתן לשלוח בקשה מעוצבת במיוחד שמנצלת את החריגה ומביאה ל-RCE (Remote Code Execution) מלא על שרת הדומיין.

שלב אחר שלב: איך מתבצעת המתקפה

שלב 1: אחיזה ראשונית ברשת

הפגיעות אינה ניתנת לניצול מהאינטרנט ישירות — שירות Netlogon לא נחשף כרגיל ממול. תוקף זקוק קודם לנוכחות כלשהי בתוך רשת הארגון: מחשב עובד שנדבק בנוזקה, חיבור VPN שנגנב, או כל נקודת כניסה פנימית אחרת.

שלב 2: זיהוי Domain Controller

מתוך הרשת הפנימית, קל לזהות את כתובת ה-IP של שרת הדומיין — הוא עונה לשאילתות DNS, מפרסם שירותי LDAP, ובדרך כלל מוגדר כ-Default Gateway עבור שירותים ארגוניים רבים.

שלב 3: שליחת בקשה מעוצבת

התוקף שולח ל-Domain Controller בקשת Netlogon שמכילה מטען גדול מהמצופה. הקוד הפגיע אינו בודק את גודל הקלט לפני שהוא מעתיק אותו לתוך ה-stack — ומכאן מתרחשת ההצפה.

שלב 4: ביצוע קוד בהרשאות SYSTEM

ניצול מוצלח מביא ל-RCE עם הרשאות SYSTEM — ההרשאה הגבוהה ביותר ב-Windows, שגם מנהלי מערכת רגילים לא מחזיקים בה. ב-Domain Controller, RCE ברמת SYSTEM שקולה למפתח מאסטר של כל הדומיין.

שלב 5: השתלטות על ה-Forest כולו

משרת הדומיין, התוקף יכול לייצר חשבונות מנהל חדשים, לשנות הרשאות, לגנוב את בסיס הנתונים NTDS.dit (שמכיל את Hash של כל הסיסמאות), ולפרוס כלים נוספים לכל מחשב בארגון. הסלמת הרשאות מנקודת כניסה פנימית אחת לשליטה מלאה ב-Forest — זה בדיוק מה שמומחים מכנים “forest-wide takeover.”

למה “השתלטות על ה-Forest” כל כך חמורה?

Forest ב-Active Directory הוא הגבול הגבוה ביותר של האמון הארגוני. ארגון אחד יכול לנהל מספר Domains (למשל: corp.company.com ו-rd.company.com), אבל כולם נמצאים תחת אותו Forest ומאמינים זה לזה.

כשתוקף משיג שליטה על ה-Domain Controller הראשי, הוא יכול:

  • לייצר Kerberos Golden Tickets — כרטיסי אימות מזויפים שנותנים גישה לכל שירות בדומיין ללא הגבלת זמן
  • לסנכרן את NTDS.dit ולגנוב את כל ה-Hashes של סיסמאות הארגון
  • לבצע תנועה רוחבית (Lateral Movement) לכל מחשב בארגון ללא מאמץ נוסף
  • לפרוס כופרה, נוזקות, או backdoors על כל מכונה מנוהלת

ניקוי לאחר השתלטות כזו דורש לעיתים בניית Active Directory מאפס — תהליך שיכול להימשך שבועות ולעלות מיליוני שקלים.

סימני זיהוי (IOCs)

אם אתם מנהלי IT או אנשי SOC, אלה הם הסממנים שדורשים חקירה מיידית:

  • קריסות ואתחולים חוזרים של שירות Netlogon — בעיקר ב-Domain Controllers
  • תעבורת Netlogon ממכשירים שאינם Domain Controllers — תעבורה כזו אמורה לבוא ממחשבי עמדות בלבד; אם היא מגיעה משרת אחר, זה חשוד
  • כשלי אימות בנפח גבוה לפני פעילות חשודה — עלול לרמוז על ניסיונות סריקה
  • חשבונות Domain Admin חדשים שלא נוצרו על ידי הצוות — סימן קלאסי לאחרי פריצה
  • גישה ל-NTDS.dit או לשכפול חלקי של Active Directory (DCSync) ממכשיר לא מורשה

מה לעשות עכשיו

מיקרוסופט פרסמה תיקון ב-Patch Tuesday של מאי 2026 (13 במאי 2026). ACROS Security פרסמה Micropatches גם לגרסאות Legacy שמיקרוסופט כבר לא תומכת בהן: Windows Server 2008 R2, 2012, ו-2012 R2.

הצעדים הדחופים:

  • עדכנו את כל ה-Domain Controllers לאלתר — החילו את עדכוני מאי 2026 של מיקרוסופט. שרתי הדומיין הם המטרה הישירה, ועדכונם הוא הפעולה החשובה ביותר.
  • גרסאות Legacy? פנו ל-ACROS 0patch — אם אתם מריצים Windows Server 2008 R2, 2012, או 2012 R2, בדקו את פורטל 0patch של ACROS Security לקבלת ה-Micropatch.
  • הגבילו גישת רשת ל-Domain Controllers — ה-Domain Controllers לא אמורים להיות נגישים לכל מכשיר ברשת. Firewall rules ו-Network Segmentation שמגבילים גישה ל-Netlogon (פורט 445/TCP ופורטים רלוונטיים נוספים) רק למכשירים מורשים — מקטינים את שטח ההתקפה משמעותית.
  • הפעילו ניטור אינטנסיבי על Domain Controllers — הוסיפו חוקי SIEM שמזהים קריסות של Netlogon, DCSync לא מורשה, ויצירת חשבונות Admin חדשים.
  • בדקו לוגים רטרואקטיבית מ-13 במאי 2026 לאחור — הפגיעות פורסמה ב-12 במאי; ניצול פוטנציאלי שקדם לעדכון שלכם ראוי לבדיקה.
  • הניחו שכל הצפת מאגר שירות לא-מאומת היא קריטית — אל תמתינו לאישור ניצול פעיל של ה-CVE שלכם. אם הפגיעות קיימת, ייתכן שהיא כבר נוצלה.

פגיעות כמו CVE-2026-41089 מזכירות לנו שהמרכיב הכי קריטי ברשת הארגונית הוא גם היעד המועדף ביותר על תוקפים. Domain Controllers הם לא “עוד שרת” — הם הסמכות שכל שאר הרשת סומכת עליה. ארגון שמשאיר אותם לא מעודכנים בסביבה שבה אישרו ניצול פעיל, לוקח סיכון שעלולה להיות לו מחיר גבוה מאוד.


מקורות: Help Net Security | Zero Day Initiative

תגובות